INSYS-Router mit icom OS erfordern die Konfiguration einer Authentifizierungsmethode für den produktiven Einsatz.

Dieser "Umstand" zwingt den Anwender sich bereits bei der Konfiguration mit der Absicherung des Zugriffs auf den Router auseinanderzusetzen.

1. Situation

In den Werkseinstellungen ist keine Authentifizierung konfiguriert. Der Zugang zum Web-Interface ist ohne Anmeldung möglich. Änderungen können vorgenommen werden. Eine Aktivierung der Änderungen ist jedoch erst möglich, nachdem eine Authentifizierungsmethode konfiguriert wurde.

Wird der Router mit dem Schnellstart-Assistenten in Betrieb genommen, muss dabei ein Benutzer angelegt werden.

Wird auf das blinkende Zahnrad in der Titelleiste () geklickt, um das Profil zu aktivieren, und es ist keine Authentifizierung konfiguriert, muss dabei ein Benutzer angelegt werden.

Die manuelle Konfiguration der verschiedenen Authentifizierungsmethoden wird im Folgenden beschrieben.

2. Lösung

Eine der folgenden Authentifizierungsmethoden muss konfiguriert werden:

  • Benutzername und Passwort: hierzu muss ein Benutzer lokal auf dem Router angelegt sein

  • Zertifikat: hierzu muss die Client-Authentifizierung via Zertifikat aktivieret, ein CA-Zertifikat auf dem Router hinterlegt und ein Client-Zertifikat im Browser importiert sein

  • RADIUS-Server: hierzu muss die Authentifizierung an einem RADIUS-Server aktiviert sein und ein Benutzer auf dem RADIUS-Server angelegt sein

Zur Erhöhung der Sicherheit wird empfohlen, nicht verwendete Authentifizierungsmethoden zu deaktivieren.

2.1. Authentifizierung über Benutzername und Passwort

Die Sicherheit dieser Authentifizierungsmethode hängt von der Komplexität und Geheimhaltung des gewählten Passworts ab.

  1. Web-Interface des Routers (192.168.1.1) mit einem Browser aufrufen.

  2. Auf (Hilfetexte anzeigen) in der Titelleiste klicken, um hilfreiche Informationen zu den Konfigurationsoptionen in der Inline-Hilfe anzuzeigen.

  3. Im Menü AdministrationBenutzer auf () klicken, um einen neuen Benutzer hinzuzufügen.

  4. Benutzername und Passwort eintragen.

  5. Benutzergruppe auswählen.

  6. Auf Einstellungen speichern klicken, um den Benutzer zu übernehmen.
    cg de m3 configuring authentication 01

  7. Profil aktivieren mit einen Klick auf das blinkende Zahnrad in der Titelleiste ().

Ein Tippfehler bei der Eingabe, ein Vergessen der hier hinterlegten Zugangsdaten oder nicht mindestens einem Benutzer Schreibrechte zu gewähren, führt dazu, dass nicht mehr auf den Router zugegriffen werden kann. Zugriff ist dann nur noch durch ein Zurücksetzen des Routers auf Werkseinstellungen unter Verlust aller Einstellungen wieder möglich.

Erlaubte Zeichen für den Benutzernamen: 0-9, a-z, A-Z sowie die Sonderzeichen - (Minus), _ (Unterstrich), . (Punkt) Zusätzlich erlaubte Sonderzeichen für das Passwort: !@#$%^&=* Besondere Anforderungen an das Passwort werden nicht gestellt. Das Passwort sollte ausreichend lang und nicht leicht zu erraten sein. Die Sicherheit liegt in der Verantwortung des Anwenders. Wird kein Passwort vergeben, kann sich der Benutzer nicht am Router anmelden.

Das Passwort wird als gesalzener SHA-512-Hash verschlüsselt gespeichert und kann nicht mehr sichtbar gemacht werden. Es kann beim Anlegen eines Benutzers statt im Klartext auch direkt als Hash eingegeben werden, um zum Beispiel Benutzer mit Passwort anlegen zu können, ohne dieses kennen zu müssen.
Beispiel für einen Hash:
$6$ed81a2f486$LSbNLuCyoXieyfUvpg30Ew/chO55Cw.LL2Hol4sCo5xf75GT9Om4yxGEDYhifSlK0XKLMXM.GGOp9iCQeCaDS/ Wobei der Hash mit der Zeichenfolge $6$ (bezeichnet SHA-512) beginnen und genau 106 Zeichen lang sein muss. Das Salz (Salt) ist der Teil zwischen dem zweiten und dritten Dollar-Symbol, hier ed81a2f486.

2.2. Authentifizierung über Zertifikat

Für diese Art der Authentifizierung müssen folgende Elemente einer Zertifikatsstruktur vorhanden sein:

  • CA-Zertifikat (wird im Router hinterlegt)

  • Client-Zertifikat (wird im Web-Browser hinterlegt)

Die Erstellung einer Zertifikatsstruktur ist in diesem Configuration Guide detailliert beschrieben.

Die Sicherheit dieser Authentifizierungsmethode hängt vom Schutz der Zertifikatsstruktur ab. Jeder der Zugriff auf das Client-Zertifikat hat oder in der Lage ist, ein Client-Zertifikat mit diesem CA-Zertifikat zu erstellen, kann Zugriff auf das Web-Interface erlangen. Deswegen ist bei der Absicherung auch auf den Weg der Übermittlung des Client-Zertifikats zu achten. Unter Beachtung dessen ist diese Authentifizierungsmethode sehr sicher und üblicherweise eine Authentifizierung mit Benutzername und Passwort vorzuziehen.

  1. Web-Interface des Routers (192.168.1.1) mit einem Browser aufrufen.

  2. Auf (Hilfetexte anzeigen) in der Titelleiste klicken, um hilfreiche Informationen zu den Konfigurationsoptionen in der Inline-Hilfe anzuzeigen.

  3. Im Menü AdministrationZertifikate unter Zertifikate oder Schlüssel importieren das CA-Zertifikat auswählen und auf Zertifikate importieren klicken.
    cg de m3 configuring authentication 02

  4. Im Menü AdministrationWeb-Interface die Checkbox Web-Interface via HTTPS aktivieren markieren.

  5. Die Checkbox Client-Authentifizierung via Zertifikat aktivieren markieren.

  6. Unter CA-Zertifikat für Client-Authentifizierung das oben importierte CA-Zertifikat auswählen.

  7. Auf Einstellungen speichern klicken, um die Änderungen zu übernehmen.
    cg de m3 configuring authentication 03

  8. Profil aktivieren mit einen Klick auf das blinkende Zahnrad in der Titelleiste ().

  9. Client-Zertifikat im Web-Browser importieren

Der Import des Zertifikats im Web-Browser hängt vom verwendeten Browser ab. Üblicherweise finden sich die Funktionen zum Importieren der Zertifikate unter EinstellungenDatenschutz & Sicherheit. Ggf. muss der Browser neu gestartet werden. Es kann vorkommen, dass beim ersten Zugriff auf das Web-Interface noch Sicherheitsabfragen bestätigt werden müssen.

2.3. Authentifizierung über RADIUS

Bei dieser Art der Authentifizierung erfolgt die Benutzerverwaltung auf einem RADIUS-Server. Hier erfolgt die Authentifizierung durch einen RADIUS-Server, an den der Router die eingegebenen Zugangsdaten weiterreicht.

Die Sicherheit dieser Authentifizierungsmethode hängt von der Sicherheit des vom Anwender betriebenen RADIUS-Servers und der Komplexität und Geheimhaltung der Zugangsdaten ab. Die Verbindung zum RADIUS-Server wird durch ein 'Shared Secret' abgesichert.

  1. Web-Interface des Routers (192.168.1.1) mit einem Browser aufrufen.

  2. Auf (Hilfetexte anzeigen) in der Titelleiste klicken, um hilfreiche Informationen zu den Konfigurationsoptionen in der Inline-Hilfe anzuzeigen.

  3. Im Menü AdministrationRadius die Option Zusätzlich am Radius-Server authentifizieren markieren.

  4. Unter Server und Port die URI oder IP-Adresse und den Port des RADIUS-Servers eingeben.

  5. Unter Shared Secret das 'Shared Secret' des RADIUS-Servers eingeben.

  6. Standard-Benutzergruppe für die Anmeldung über den RADIUS-Server auswählen.

  7. Auf Einstellungen speichern klicken, um die Änderungen zu übernehmen.
    cg de m3 configuring authentication 04

  8. Profil aktivieren mit einen Klick auf das blinkende Zahnrad in der Titelleiste ().

3. Wichtig zu wissen!

Sollten mehrere Authentifizierungsmethoden konfiguriert sein, gilt folgendes:

  • Wenn eine Authentifizierung über Zertifikat konfiguriert ist, erfolgt die Authentifizierung immer dann, wenn das Client-Zertifikat auf dem Browser, mit dem auf den Router zugegriffen wird, mit dem auf dem Router hinterlegten CA-Zertifikat erstellt wurde und gültig ist. Dann ist keine Eingabe von Zugangsdaten erforderlich.

  • Wenn ein RADIUS-Server für die Authentifizierung konfiguriert ist, wird immer zuerst eine Authentifizierung mit den lokal im Router konfigurierten Benutzern versucht. Erst wenn eine lokale Authentifizierung scheitert (wenn z.B. kein Benutzer konfiguriert ist, der eingegebene Benutzer inaktiv ist, das eingegebene Passwort fehlt oder falsch ist), wird die Authentifizierung bei dem konfigurierten RADIUS-Server versucht. Autorisiert der RADIUS-Server die Anfrage, werden für diesen Benutzer die Benutzerrechte verwendet, die einem lokal eingetragenen Benutzer mit demselben Benutzername konfiguriert wurden. Ist der Benutzer lokal gar nicht angelegt, erfolgt die Authentifizierung durch den RADIUS-Server und es werden die für den RADIUS-Server pauschal konfigurierten Benutzerrechte verwendet.

Die Benutzerverwaltung über einen RADIUS-Server ermöglicht neben einem Zugriff auf das Web-Interface auch den Zugriff auf REST-Schnittstelle und CLI (Kommandozeile).

4. Fehlersuche

  • Bei der verdeckten Eingabe von Passwörtern ist darauf zu achten, dass nicht versehentlich die Shift-Lock (Umschaltsperre)- oder Num-Lock-Taste gedrückt wurde.

  • Bei der Authentifizierung über ein Zertifikat ist darauf zu achten, dass das Zertifikat nicht abgelaufen ist und Datum/Uhrzeit im Router aktuell sind.

  • Ist eine Authentifizierung an einem RADIUS-Server nicht möglich, sollte zuerst überprüft werden, ob der RADIUS-Server erreichbar ist.

  • Haben Sie sich durch eine fehlerhafte Konfiguration vom Zugriff auf den Router ausgesperrt, kann dieser durch dreimaliges Drücken der Reset-Taste innerhalb von 2 Sekunden auf Werkseinstellungen zurückgesetzt werden. Dabei gehen sämtliche Einstellungen verloren.

Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht